Kaspersky Lab: 'Federalni Trojanac' nemačke policije je 'Veliki brat' u zaraženom računaru

Vesti, 20.10.2011, 09:28 AM

Kaspersky Lab: 'Federalni Trojanac' nemačke policije je 'Veliki brat' u zaraženom računaru

Trojanac koga je nemačka policija koristila za presretanje internet telefonskih poziva ima mogućnost nadzora 15 programa, uključujući browser-e i programe za chat.

Ovo je zaključak do koga su posle analize spornog softvera došli stručnjaci Kaspersky Laboratorije. Trojanca koji je poznat pod nazivima 0zapftis, Bundestrojaner ili R2D2 najpre je analizirala poznata nemačka hakerska zajednica Chaos Computer Club (CCC) koja je tada došla do zaključka da je primarna meta ovog malware-a bio Skype. CCC je imao pristup samo DLL fajlu i kernel drajveru “federalnog Trojanca”, dok su se u Kaspersky Laboratoriji bavili analizom instalacionog fajla Trojanca čiji je naziv “scuinst.exe” i kojeg su detektovali i blokirali Kaspersky antivirusni programi.

Trojanac ima pet komponenti od kojih svaka ima različitu funkciju, a Kasperky Laboratorija je analizirala svaku od komponenti ponaosob.

Tilman Verner iz nemačkog ogranka Kaspersky Laboratorije izdvaja dva zanimljiva otkrića do kojih su došli stručnjaci kompanije. Najpre, verzija Trojanca koju su analizirali nije dizajnirana samo za 32-bitne sisteme, već ima podršku i za 64-bitne verzije Windows-a. Drugo otkriće je još zanimljivije. Lista procesa nad kojima Trojanac vrši monitoring je značajno duža od one koja je spomenuta u izveštaju CCC. Čak 15 programa zaraženih Trojancem mogu biti predmet nadzora.

Među ovim programima nalaze se poznati browser-i kao što su Internet Explorer, Firefox i Opera, programi sa VoIP i funkcionalnošću kodiranja podataka, kao što su ICQ, MSN Messenger, Yahoo Messenger, Skype, Low-Rate VoIP, CounterPath X-Lite i Paltalk.

Na 32-bitnim Windows sistemima Trojanac koristi kernel mod rootkit-a koji nadgleda određene procese i ubacuje svoj kod u njih. Međutim, na 64-bitnim sistemima, sistemski drajver Trojanca je mnogo jednostavniji i nema funkcionalnost infekcije procesa već samo služi kao interfejs za pristup registry bazi ili sistemskim fajlovima.

Trojanac koristi sertifikat koji je objavio Goose Cert 11. aprila ali taj sertifikat mora biti instaliran a njegova pouzdanost potvrđena, jer nije na osnovnoj Microsoft-ovoj listi sertifikata. To nije bio problem za policiju koja je instalirala Trojanca tokom carinske kontrole ili sličnih provera.

Iz Kaspersky Labooratorije kažu da su prozvodi kompanije heuristički detektovali Trojanca i blokirali ga i pre nego je kod bio analiziran a signature dodate. Međutim, zaštitni softver nije od pomoći ako neko sa strane ručno da dozvolu da program bude izuzetak. Zato je najbolje rešenje za sprečavaje takve vrste intervencije od spolja korišćenje lozinke za zaštitu antivirusne konfiguracije, što je mogućnost koju nudi većina antivirusnih programa.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Uprkos akciji policije, BadBox nastavlja da se širi: malverom zaraženo 192.000 Android uređaja

Uprkos akciji policije, BadBox nastavlja da se širi: malverom zaraženo 192.000 Android uređaja

Android malver BadBox zarazio je više od 192.000 uređaja širom sveta uprkos nedavnoj operaciji policije u Nemačkoj koja je pokušala da zaustavi ... Dalje

Interpol traži da se termin ''pig butchering'' (svinjokolj) ne koristi više za žrtve investicionih i ljubavnih internet prevara

Interpol traži da se termin ''pig butchering'' (svinjokolj) ne koristi više za žrtve investicionih i ljubavnih internet prevara

Interpol je pozvao zajednicu sajber bezbednosti, organe za sprovođenje zakona i medije da prestanu da koriste termin „pig butchering“ (sv... Dalje

Milioni korisnika interneta izloženi riziku od lažnih captcha stranica i infekcije malverom Lumma

Milioni korisnika interneta izloženi riziku od lažnih captcha stranica i infekcije malverom Lumma

Istraživači Guardio Labsa i Infobloxa otkrili su kampanju velikih razmera koja distribuira malver Lumma preko lažnih captcha stranica. Napadači is... Dalje

Amnesty International: Srpske vlasti koriste do sada nepoznati špijunski softver NoviSpy

Amnesty International: Srpske vlasti koriste do sada nepoznati špijunski softver NoviSpy

Srpske vlasti su instalirale špijunski softver na telefone desetina predstavnika civilnog društva, aktivista i novinara, navodi se u izveštaju koji... Dalje

Android malver BadBox predinstaliran na desetinama hiljada IoT uređaja

Android malver BadBox predinstaliran na desetinama hiljada IoT uređaja

Nemačka Savezna kancelarija za informacionu bezbednost (BSI) je saopštila da je blokirala malver BadBox koji je predinstaliran na više od 30.000 An... Dalje